Réutilisation des mots de passe : le coût caché de la facilité
La réutilisation des mots de passe peut sembler n’être qu’un problème mineur – une mauvaise habitude de l’utilisateur final qui pourrait être corrigée à l’aide une formation adéquate. Mais ce petit geste commode peut avoir des conséquences considérables sur la cybersécurité d’une organisation. Lorsqu’un utilisateur final réutilise un mot de passe sur plusieurs comptes, il crée ainsi une opportunité en or pour les pirates.
Si les organisations ont mis en place des politiques de mot de passe strictes, cela pourra générer un faux sentiment de sécurité alors même que la réutilisation des mots de passe est courante. Nous examinerons comment ce risque se manifeste, pourquoi il est difficile à résoudre et ce que les équipes informatiques peuvent mettre en place pour lutter contre ce problème.
Comment la réutilisation des mots de passe conduit à des compromissions
Supposons que chaque utilisateur final de votre organisation soit invité à créer une passphrase forte de plus de 15 caractères, composée de mots aléatoires. Vous pourrez même les confronter à une liste de mots de passe compromis les plus couramment utilisés. À première vue, votre Active Directory regorge de mots de passe forts. Les problèmes commencent lorsqu'un utilisateur final réutilise son mot de passe sur un appareil personnel, un site web ou une application moins sécurisés.
Un pirate informatique pourrait s'introduire dans la base de données d'un site web mal sécurisé et ainsi accéder aux mots de passe de tous ses utilisateurs. À partir de là, il pourra essayer de savoir où sont employées ces personnes et accéder à leurs comptes professionnels. Les attaquants peuvent également obtenir des informations d'identification en ciblant des personnes dans le cadre d'attaques d'ingénierie sociale comme le phishing.
Armés du mot de passe compromis, les pirates utilisent alors des outils automatisés pour essayer systématiquement la combinaison nom d'utilisateur et mot de passe volés sur différents sites web et applications, notamment ceux qui sont associés au lieu de travail de la cible. Les comptes de courrier électronique, les systèmes internes, les dépôts de fichiers et même les privilèges administratifs d'une organisation se trouvent ainsi menacés.
Une fois à l'intérieur du réseau de l'organisation, l'attaquant peut se déplacer latéralement, explorer différents systèmes et élever ses privilèges. Un attaquant peut alors avoir accès à des données sensibles, compromettre d'autres comptes, installer des logiciels malveillants ou lancer d'autres attaques au sein du réseau. Les pirates peuvent exfiltrer des données sensibles, manipuler ou supprimer des informations, perturber les opérations ou demander une rançon pour les données de l'organisation qu'ils gardent en otage. Tout cela à partir d'un mot de passe réutilisé, pourtant considéré comme sécurisé au moment de sa création.
Pourquoi les gens réutilisent-ils leurs mots de passe ?
La réutilisation des mots de passe est principalement motivée par un désir pratique plutôt que par une volonté délibérée d'être imprudent. Les utilisateurs ont tendance à choisir des mots de passe faciles à mémoriser et à les recycler sur plusieurs comptes afin d'éviter à avoir à gérer de nombreux mots de passe complexes. Cela n'est pas très surprenant si l'on considère la charge accrue qui pèse sur les utilisateurs pour retenir et gérer de nombreux mots de passe. Les gens sont submergés par le nombre de comptes et de mots de passe qu'ils doivent gérer, et cette lassitude les pousse à prendre des raccourcis comme la réutilisation des mots de passe par exemple.
Même si les utilisateurs finaux sont sensibilisés aux risques grâce à des formations, ils adoptent souvent une attitude du type « ça ne sera pas moi » qui les incite à privilégier la réutilisation des mots de passe parce qu'elle est commode. Une récente enquête de Bitwarden révèle que 84 % des personnes admettent utiliser le même mot de passe sur plusieurs comptes. Pour changer ce comportement, il ne suffit pas de former et de sensibiliser les utilisateurs - ces derniers ont besoin du soutien de la technologie.
Résoudre le problème de la réutilisation des mots de passe
Pour résoudre le problème de la réutilisation des mots de passe, il faut adopter une approche à multiples facettes qui combine formation des utilisateurs, solutions techniques et politiques organisationnelles. Cela nécessite un changement de comportement de la part des utilisateurs, une meilleure sensibilisation et l'adoption de méthodes d'authentification sécurisées pour réduire la dépendance à l'égard des mots de passe.
Il faut arriver à trouver l'équilibre délicat entre sécurité et commodité. Les organisations doivent mettre en œuvre des mesures de sécurité strictes pour limiter la réutilisation des mots de passe, mais elles doivent également prendre en compte l'expérience utilisateur et éviter de créer des obstacles excessifs qui entravent la productivité ou frustrent les utilisateurs.
Formation et sensibilisation des utilisateurs
Organiser régulièrement des sessions de formation à la cybersécurité pour sensibiliser les employés sur les risques liés à la réutilisation des mots de passe et l'importance d'une bonne hygiène des mots de passe. Il faut leur faire comprendre que même des mots de passe forts et uniques peuvent être mis en danger.
L'authentification multifacteur (MFA)
Mettez en place la MFA comme niveau de sécurité supplémentaire. Lorsque vous demandez aux utilisateurs de fournir plusieurs formes d'authentification, un mot de passe et un code unique envoyé sur leur appareil mobile par exemple, il est beaucoup plus difficile pour les pirates de compromettre un compte. Cependant, gardez à l’esprit que MFA n’est pas infaillible et ne peut pas compenser la faiblesse des mots de passe.
Les gestionnaires de mots de passe
Les gestionnaires de mots de passe stockent et génèrent en toute sécurité des mots de passe complexes pour différents comptes, ce qui permet à l'utilisateur final de n'avoir à retenir qu'un seul mot de passe principal. Il n'est donc plus nécessaire de se souvenir de différents mots de passe, ce qui diminue la tentation de les réutiliser. Bien entendu, si un utilisateur final réutilise son mot de passe principal, tous ses comptes s'en trouvent menacés.
L'analyse continue des mots de passe compromis
La meilleure défense contre la réutilisation des mots de passe consiste à mettre en œuvre une solution qui scanne en permanence vos mots de passe Active Directory et les compare à une base de données significative de mots de passe compromis connus. Certaines solutions ne procèdent qu'à des vérifications périodiques lors des réinitialisations ou des expirations, ce qui peut laisser des laps de temps significatifs pendant lesquels les utilisateurs finaux travaillent avec des mots de passe compromis.
Specops Password Policy avec Breached Password Protection offre aux organisations la possibilité de détecter en continu et en temps réel les mots de passe compromis, d'inviter les utilisateurs à modifier leurs mots de passe grâce à des notifications personnalisées et de réduire considérablement le risque d'accès non autorisé. En scannant continuellement les mots de passe d'Active Directory et en les confrontant à notre base de données Specops Password Policy qui contient plus de 4 milliards de mots de passe compromis connus, les organisations peuvent se défendre de manière proactive contre la réutilisation des mots de passe, répondre aux exigences de conformité et réagir rapidement aux incidents de sécurité.
Vous vous inquiétez du danger caché que représentent les mots de passe réutilisés au sein de votre Active Directory ? Échangez avec un expert dès aujourd'hui pour savoir comment Specops Password Policy pourrait s'adapter à votre organisation.
Sur le même thème
Voir tous les articles Cybersécurité